Nieuws:

Welkom, Gast. Alsjeblieft inloggen of registreren.
Heb je de activerings-mail niet ontvangen?

Auteur Topic: installeren SSL certificaat  (gelezen 1214 keer)

installeren SSL certificaat
« Gepost op: 2015/08/05, 16:11:47 »
Ik heb al van alles geprobeerd om een gekocht SSL-certificaat te installeren in mijn Ubuntu 14.10, maar het wil me maar niet lukken.

Van mijn provider heb ik drie bestanden kunnen downloaden:
sub_domein_nl.cert
CA_Intermediate.cert
CA_Root.cert

Ik heb sub_domein_nl.cert en CA_Intermediate.cert samengevoegd tot één bestand: sub_domein_nl_chained.crt
CA_Root.cert heb ik geplaatst in /usr/local/share/ca-certificates/
Daarna gebruikte ik deze commando's:
openssl genrsa -des3 -out sub_domein_nl.key 2048
cp sub_domein_nl.key sub_domein_nl.key.orig
openssl req -new -key sub_domein_nl.key -out sub_domein_nl.csr
openssl rsa -in sub_domein_nl.key.orig -out sub_domein_nl.key
update-ca-certificates

Het domein is via http://sub.domein.nl gewoon te benaderen, maar moet uiteindelijk alleen via https te bereiken zijn.

Wat doe ik fout?

Offline EZ-man

  • Lid
  • Steunpunt: Nee
Re: installeren SSL certificaat
« Reactie #1 Gepost op: 2015/08/05, 19:33:31 »
Ik ben helemaal niet deskundig op het gebied van webservers, maar misschien zit in onderstaande link nuttige informatie :
    http://askubuntu.com/questions/68940/how-do-i-setup-ssl-crt-on-my-apache2-server

Offline Johan van Dijk

  • Administrator
    • johanvandijk
  • Steunpunt: Nee
Re: installeren SSL certificaat
« Reactie #2 Gepost op: 2015/08/05, 19:45:50 »
Ik begrijp niet helemaal wat het probleem is. Je geeft aan dat je een aantal commando's uitgevoerd hebt om een nieuw certificaat te maken, maar je zegt ook dat je al een certificaat hebt... Als je er al 1 hebt moet je niet een nieuwe maken, want die is niet ondertekend en zal dus waarschuwingen geven in alle browsers.

Of je site bereikbaar is via http of https moet je in Apache instellen. Je moet 1 virtualhost hebben voor dat subdomein die alleen op poort 443 luistert en aan SSL doet.

Offline Buzzin

  • Lid
  • Steunpunt: Nee
Re: installeren SSL certificaat
« Reactie #3 Gepost op: 2015/08/06, 11:29:31 »
Met de commando's die je laat zien maak je nieuwe certificaten....vergeet die.

Je gekochte certificaten zijn waardeloos zonder private key (die moet je zelf hebben, danwel hij is aangemaakt bij de aanvraag)
Deze moet je vervolgens nog wel zo prepareren dat je een versie zonder wachtwoord hebt die je zo beschermt dat niemand erbij kan, behalve apache.

Daarna kun je de intermediate en CA certificates in 1 bestand zetten (NIET je cert van jouw domein), dit is de CA-chain file.
Plaats vervolgens de certificaten in de juiste map (weet uit m'n hoofd niet waar ubuntu dat doet, maar op zich maakt het niet uit waar, zolang je verwijzing in je vhost maar klopt).
Plaats de private key in de juiste map, daar waar niemand er zomaar bij kan. Ook hier moet de verwijzing in je vhost kloppen.

In je Vhost moeten een aantal dingen staan:
- Dat hij luistert op poort 443 (daarvoor moet ergens in de config van apache ook nog staan 'Listen 443', dat staat hier los van!)
- Welke encryptie e.d. hij gebruikt....pak hier een voorbeeld voor, dat is lastig uit je hoofd leren....
- Welke key hij moet gebruiken verwijs naar de private key
- Welk certificaat, verwijs hier naar het cert van je subdomein
- Welke CAChain hij moet gebruiken....je raad het al, wijs naar de CA-Chain file die je net gecreeerd hebt.

Voorbeeldje, NIET GEBRUIKEN....aanpassen naar je eigen smaak en instellingen.

Listen 443
<VirtualHost *:443>
   ServerName subdomein.mijndomein.nl
   DocumentRoot "/var/www/html"
   SSLEngine on
   SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP
   SSLCertificateFile /etc/pki/tls/certs/subdomein.mijndomein.nl.crt
   SSLCertificateKeyFile /etc/pki/tls/private/subdomein.mijndomein.nl.key
   SSLCertificateChainFile /etc/pki/tls/certs/CA-Chain.crt

   Andere dingen die je met een Vhost instelt, denk er aan, instellingen van je 'gewone' http vhost zijn hier niet automatisch overgenomen.
</VirtualHost>
Football: A battle between two teams of mindless thugs over scraps of coloured cloth. Usually accompanied by the spectacle of 22 overpaid primadonnas kicking a ball on a field.
DebianDevuan, KDE & OperaVivaldi addict, RedHat Engineer

Re: installeren SSL certificaat
« Reactie #4 Gepost op: 2015/08/07, 12:08:10 »
Om verwarring te voorkomen heb ik het andere topic gesloten en ga ik hier verder met. Excuses voor de dubbelingen.

Re: installeren SSL certificaat
« Reactie #5 Gepost op: 2015/08/07, 15:28:03 »
Ondanks alle pogingen is het me nog niet gelukt. Is er onder jullie iemand die ziet wat ik fout doe of over het hoofd zie?

Ik begin met mijn "kale" VPS onder Ubuntu 12.04.2 LTS

Daar geef ik de volgende opdrachten:

apt-get update
apt-get install locate php5 apache2

Vervolgens upload ik drie files vanaf de lokale PC naar /etc/ssl/certs/
sub_domein_nl.cert
CA_Root.cert
CA_Intermediate.cert

cd /etc/ssl/certs/
cat CA_Root.cert CA_Intermediate.cert > CA_chained.cert
openssl req -nodes -newkey rsa:2048 -keyout sub_domein_nl.key -out sub_domein_nl.csr
chmod 600 *.key *.csr
cd /etc/apache2/sites-available/
cp default-ssl sub.domein.nl
vi sub.domein.nl

Bestand begint met:
Listen 443

Na de regel ServerAdmin invoegen:
ServerName sub.domein.nl
...
Na de regel SSLEngine on invoegen:
SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP

en enkele regels verderop deze correctie doorvoeren:
SSLCertificateFile      /etc/ssl/certs/sub.domein.cert
SSLCertificateKeyFile   /etc/ssl/certs/sub.domein.key
SSLCertificateChainFile /etc/ssl/certs/CA_chained.cert

a2ensite sub.domein.nl
apachectl configtest
service apache2 reload
apachectl stop
apachectl start

Wanneer ik vervolgens sub.domein.nl benader in Google Chrome, krijg ik een foutmelding: Fout met SSL-verbinding. Kan geen veilige verbinding maken met de server. Dit kan worden veroorzaakt door een probleem met de server, of er wordt een certificaat voor clientverificatie vereist waarover je niet beschikt.

Vriendelijke groet,
Guido

Offline Buzzin

  • Lid
  • Steunpunt: Nee
Re: installeren SSL certificaat
« Reactie #6 Gepost op: 2015/08/07, 15:37:31 »
Ik zal het herhalen: Vergeet de commando's voor het aanmaken van certs/keys. (de openssl commando's die je hier noemt)
Bij het aanmaken van de certificaten (danwel de CSR) is een private key gebruikt.
Die moet je nu ook gebruiken.
Zonder die specifieke private key kun je de certificaten niet gebruiken.

Ga dus op zoek naar die private key, want die is echt nodig voor een correcte instelling.
Football: A battle between two teams of mindless thugs over scraps of coloured cloth. Usually accompanied by the spectacle of 22 overpaid primadonnas kicking a ball on a field.
DebianDevuan, KDE & OperaVivaldi addict, RedHat Engineer

Re: installeren SSL certificaat
« Reactie #7 Gepost op: 2015/08/07, 15:56:18 »
Bij het aanmaken van de certificaten (danwel de CSR) is een private key gebruikt.
Ik heb hier ergens een code genoteerd, dat is wellicht mijn private key, maar met welk commando wordt die key aan mij gevraagd?

Vriendelijke groet,
Guido

Offline Johan van Dijk

  • Administrator
    • johanvandijk
  • Steunpunt: Nee
Re: installeren SSL certificaat
« Reactie #8 Gepost op: 2015/08/07, 18:47:02 »
Je hebt het in een ander topic ook al gevraagd en het antwoord is nog steeds hetzelfde.

Je hebt een aantal bestanden nodig:
subdomein.key
subdomein.crt
chain.crt

De bovenste is het key bestand dat je gebruikt hebt om je certificaat aan te vragen, de 2e is wat je terug gekregen hebt van je host of de partij waar je je certificaat gekocht hebt.
De 3e krijg je ook van je host, kan je daar downloaden of kan je maken door de intermediate en root certificaten samen te voegen.

Zonder het eerste bestand kan het gewoon niet. Heb je de originele key niet meer dan moet je een nieuw certificaat aanvragen.

Re: installeren SSL certificaat
« Reactie #9 Gepost op: 2015/08/07, 19:12:07 »
Helaas bleef het in het door Johan aangehaalde topic stil na mijn laatste vraag:

Ook vind ik bij het hostingbedrijf nog een pregenerated certificate and key:
-----BEGIN RSA PRIVATE KEY-----
....
-----END RSA PRIVATE KEY-----
-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----

Wat moet ik daar dan mee? Is dat (het bovenste gedeelte) de door mij gezochte key?

Vriendelijke groet,
Guido


Offline Johan van Dijk

  • Administrator
    • johanvandijk
  • Steunpunt: Nee
Re: installeren SSL certificaat
« Reactie #10 Gepost op: 2015/08/07, 19:31:37 »
Dat zou het kunnen zijn, maar we hebben gewoon te weinig informatie om daar iets zinnigs over te zeggen.
We weten niet bij welk hostingbedrijf je zit, en al zouden we dat wel weten dan weten we nog steeds niet hoe hun te werk gaan en hoe hun webinterface er uit ziet, waar alles staat en welk naampje ze alles gegeven hebben.
kan je bijv. met 3 klikken een certificaat maken waarbij hun alle keys en certs maken en tekenen, of moet je zelf een key maken, csr opsturen enz.?
Vanwege de openssl-commando's die je noemde ging ik uit van het 2e geval, maar nu je zegt dat zij zelf al keys gemaakt hebben kan het ook best het eerste zijn.

Neem dus even contact op met hun klantenservice, zij zullen precies weten hoe het werkt.

Re: installeren SSL certificaat
« Reactie #11 Gepost op: 2015/08/07, 19:56:46 »
Mijn webhostingprovider is Versio. Binnen DirectAdmin op hun website is domein.nl opgenomen, die gewoon op mijn webhostingpakket draait. Voor sub.domein.nl - dat draait op de VPS - is door Versio een apart item aangemaakt in DirectAdmin omdat het een eigen IP-adres moest hebben, het IP-adres van de VPS.
Bij het aanvragen van het SSL-certificaat wordt als eerste een CSR gevraagd (die je zelf maakt) en dan wordt een RSA Private Key gegenereerd.

De klantenservice van Versio is tot op zeker niveau goed, maar zij geven geen ondersteuning op Linux. Zou ik het SSL-certificaat op een website onder Windows willen installeren, dan helpen ze wel.

Voor mij is Linux een leuke en leerzame puzzel en ik weet dat ik veel fouten maak, maar daar leer ik ook weer van.
Ik vind het dan ook niet erg om vanaf scratch opnieuw te beginnen.

Vriendelijke groet,
Guido

Offline Johan van Dijk

  • Administrator
    • johanvandijk
  • Steunpunt: Nee
Re: installeren SSL certificaat
« Reactie #12 Gepost op: 2015/08/07, 20:58:21 »
In dat geval heb je eerst met een openssl commando een key en een csr bestand gemaakt.
Het key bestand heb je op je eigen computer (of de VPS) gelaten, de csr heb je gemaild of via hun web interface geüpload.

Je hebt dus het key bestand nodig en de certificaten die je van je host gekregen hebt. Zonder de key kan je niks met het certificaat.